510 likes | 571 Views
メール転送に関わる最近の セキュリティ問題. 2003/10/07 朝日大学 経営学部 情報管理学科 奥山 徹 okuyama@alice.asahi-u.ac.jp http://okuyama.dsl.gr.jp/. 今日のトピックス. 電子メールの基礎 電子メールシステム メールアドレスとメッセージ DNS との関係 ウィルスと電子メール. 電子メールシステム. MUA(Mail User Agent) MTA(Mail Transfer Agent) DNS(Domain Name System). DNS. SMTP. SMTP. MUA.
E N D
メール転送に関わる最近のセキュリティ問題 2003/10/07 朝日大学 経営学部 情報管理学科 奥山 徹 okuyama@alice.asahi-u.ac.jp http://okuyama.dsl.gr.jp/
今日のトピックス • 電子メールの基礎 • 電子メールシステム • メールアドレスとメッセージ • DNSとの関係 • ウィルスと電子メール
電子メールシステム • MUA(MailUserAgent) • MTA(MailTransferAgent) • DNS(DomainNameSystem) DNS SMTP SMTP MUA MTA MTA MUA mailbox POP/IMAP/... MB
MUA(MailUserAgent) • ユーザアプリケーション メールを読む メールを書く メールを保存/検索/削除する • UNIX ucbmail, RMAIL, mush, mh, mew, … • Windows OutLook, Netsape Mail, Eudora, PostPet,…
MTA(MailTransfer Agent) • メールの受信 • 配信先の決定 • メールの配信 リモートへ、ローカルへ、発信者へ(エラー) • Store and Forward
MTA Programs • sendmail http://www.sendmail.org/ • qmail http://www.qmail.org/ • SMAIL(GNU) • MMDF(Multi-channel Memo Distribution, CSNET) • exim http://www.exim.org/ • Vmail http://wzv.win.tue.nl/vmail/ • LSMTP http://www.lsoft.com/LSMTP.html • PP(X.400) • Postfix http://www.postfix.org/
インターネットでのメールの送受信 • SMTP - SimpleMailTransferProtocol RFC821(S) • TCPのポート25番 • ほとんどのMTAはSMTPの実装を持つ DNSとの連係機能を持つ
SMTPの様子 • ladoga% telnet vanessa.dsl.ics.tut.ac.jp 25(SMTPへの接続) • Trying 133.15.144.8... • Connected to vanessa.dsl.ics.tut.ac.jp. • Escape character is '^]'. • 220 vanessa.dsl.ics.tut.ac.jp ESMTP Sendmail 8.9.3/3.7W; Tue, 14 Sep 1999 15:02:04 +0900(サーバからのコネクションメッセージ) • HELO ladoga.dsl.ics.tut.ac.jp(サーバへのメッセージ) • 250 vanessa.dsl.ics.tut.ac.jp Hello IDENT:okuyama@ladoga.dsl.tutics.tut.ac.jp [133.15.144.7], pleased to meet you • MAIL FROM:okuyama@ladoga.dsl.ics.tut.ac.jp(発信者のアドレス) • 250 okuyama@ladoga.dsl.ics.tut.ac.jp... Sender ok
SMTPの様子(2) • RCPT TO:okuyama@vanessa.dsl.ics.tut.ac.jp (受信者のアドレス) • 250 okuyama@vanessa.dsl.ics.tut.ac.jp... Recipient ok • DATA • 354 Enter mail, end with "." on a line by itself • This is a test mail.(メール本文) • . (データの終わりを示す) • 250 PAA01454 Message accepted for delivery • QUIT • 221 vanessa.dsl.ics.tut.ac.jp closing connection • Connection closed by foreign host.
メールアドレス • 発信者/受信者情報として利用 • ユーザ名@ドメイン名 okuyama@ladoga.dsl.ics.tut.ac.jp • その他の形式 • %-Hack • Route Address • UUCP Addressing
%-Hack • RFC1123(S) user%domain@relay sender→relay→domain relayに届いた時点でuser@domainに書き換え user%domain%relay2@relay1 sender→relay1→relay2→domain
RouteAddress • RFC822(S) @relay:user@domain sender→relay→domain relayに届いた時点でuser@domainに書き換え @relay1,@relay2:user@domain sender→relay1→relay2→domain
UUCPAddressing domain!user relay!domain!user host!user@domainの解釈 “host ! user”@domain (Internet like) host ! “user@domain” (UUCP like)
コメント形式アドレス • Full Name <user@domain> • user@domain(Full Name) • user(User Name)@domain(Univ. Name) ( )のコメントはどこに入ってもよい
メッセージの形式 • メールヘッダ(header)と本文(body) RFC822(S):Standard for the format of arpa internet text messages • 最初の空白行が区切り From:okuyama@dsl.ics.tut.ac.jp To: query@domain.nic.ad.jp Subject: Question for ed.jp domains ← 空行(空白もなし) ed.jpドメインの取得に関する問い合わせ • 発信者(Sender, 通常一人, 意味上の発信者)と受信者(Recipient, 一人または複数人)
ヘッダとエンベロープ • 封書に似ている • エンベロープ(envelope) 投函した人/届け先 封書の表書きの送り主/宛先:実際に事務作業を行った人 配送の際に書き換えられていく • RFC821(S):SMTP→エンベロープはコマンドで指定 • UUCP→エンベロープはrmailのコマンドラインにて指定
ヘッダとエンベロープ(2) • ヘッダ(header) 本文を書いた人/読んで欲しい人 内封された書面の送り主/受信者 基本的に書き換えられない • ヘッダとエンベロープの送信者/受信者 同じ場合: 個人宛て 異なる場合: メーリングリストなど
ヘッダとエンベロープ(3) • エンベロープはいつ作られるか • ヘッダから抽出される 送信するMUAが行う 最初に処理を行うMTAが行う • エンベロープは配信処理で書き換えられる 転送 メーリングリスト
返信に利用するアドレス • 配信エラー通知の返送(自動) エンベロープの発信者 Errors-To: ヘッダ(エンベロープの概念がないシステム用) • 内容の返信(人が介在) ヘッダの発信者 From:, Reply-To, (To:, Cc:)
メールボックスからMUAへ • ローカルメールボックス:UNIXなど • POP(Post Office Protocol) • IMAP(Internet Message Access Protocol)
メールを送ってもらうための設定とDNS • インターネット • SMTPによる直接配信→DNSに配信先を定義 • メール配信時に参照されるDNSレコード • ARR→ホスト名からIPアドレスを取得 • MXRR→メールアドレスから配信先ホスト名を取得 • CNAMERR→ホストの別名を取得 • Genericなメールアドレス • ホスト名部分を持たない • MXRRを利用する→メールはMXで指定されたホストに送られる
MXを使って障害に備える • メール受信の代行 foo.tut.ac.jp preference=10, mx=mail1.tut.ac.jp preference=50, mx=mail2.tut.ac.jp • 数字が小さいほど優先度が高い(コスト値) 送り側は配信に成功するまで順にコストの大きなものへ配信を試みる • mail2はmail1が回復後にmail1に配送 mail2のメールの保存期間に注意
送信されたメールの受理 • 届いたメールを自分宛てとして認識 ローカルに配信(受理) 「送られてきた=自分宛て」ではない • 自分宛てではないと判断した場合 転送先をさがす • 受理するアドレスの設定 sendmail(CF): ACCEPT_ADDRSに定義
受信設定のまとめ • 相手に送り先を教える MXレコードを定義 • 自分宛てだと解釈する ローカルへの配信(受理) • 個別に設定が必要
メールは配信の設定 • 配信方法のバリエーション • DNSのMX参照による配信→MXを参照するMTAの準備 • ホスト名のみによる配送 • 固定ルールによる配信→DNSを参照する必要性の検討
DNSのMXを参照する場合 • MXを参照するMTA • sendmail.mx : librisolv.aをリンク • OS付属のものより、最新のソースからコンパイルしたほうが良い→sendmail-8.9.3 • MX参照用sendmail.cf(CF) • MX_SENDMAIL=yes→アドレスの補完
固定ルールによる配信 • sendmail.cfに固定ルールを書く • CF : STATIC_ROUTE_FILE • ファイアウォールの中などで固定ルールを参照して配信したい場合は、これを設定する
配信の動作確認 • アドレスの解釈が正しいか • sendmail -bv あるいは sendmail -bt の /parse • MXが正常に検索できているか • sendmail -bt で /mx コマンド • 実際に送ることができるか • sendmail -v
メールサーバの設定 • メールサーバのアプリケーションプログラムである、sendmail は通常パッケージからインストールされるので、それを使えば良い • 最新版は8.12.6である。もし、最新版でなければ、 ftp://ftp.sendmail.org/pub/sendmail/ から入手できる • 他のアプリケーション(qmail, postfix, etc.)が利用したければそれをインストールする必要がある • 最近では、sendmailよりpostfixを使う傾向にある
メールサーバの設定(2) • 必要に応じて、POPやIMAPなどのMDAのサーバプログラムをインストールする • 設定が終わったら、一通りテストしてみる
コンピュータウイルスとは? • コンピュータウイルスとは、プログラムに寄生する極めて小さなプログラムであり、自分自身を勝手に他のプログラムファイルにコピーする事により増殖し、コンピュータウイルス自身にあらかじめ用意されていた内容により予期されない動作を起こす事を目的とした特異なプログラムです IPA(情報処理振興事業協会)のページより http://www.ipa.g.jp/security/
コンピュータウイルスの定義 1) 自己伝染機能 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能 2) 潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、条件が満たされるまで症状を出さない機能 3) 発病機能 プログラムやデータ等のファイルの破壊を行ったり、コンピュータに異常な動作をさせる等の機能 通商産業省の「コンピュータウイルス対策基準」より
ウイルス今昔物語 • 昔のウイルス • FDなどの外部媒体を経由する場合が多く、自己伝製瀬にはそれほど高くなかった • 時には破壊的なウイルスが蔓延することがあったが、多くは自己顕示的なものであった • 今のウイルス • 電子メールやWEBなど、利用可能な伝染媒体を駆使するワームタイプ(自己伝染性の強いもの)が主流となっている • ファイルを実行すくことで伝染するものにとどまらず、スクリプトタイプのように、各種アプリケーションの問題点を突くような、複合型ウイルスとなっている(Nimdaなど) • 破壊活動やDDoS攻撃など悪質なものが多くなってきている
ウイルス被害の届け出件数(2002) 20352件
ウイルス被害の届け出件数(2003) 10741件
ウイルス被害の届け出件数(1990~2003) 1990は4月~12月 2003は1月~ 8月
2003年8月の状況IPAの2003年8月の被害届け出状況による(http://www.ipa.go.jp/security/txt/2003/09outline.html)2003年8月の状況IPAの2003年8月の被害届け出状況による(http://www.ipa.go.jp/security/txt/2003/09outline.html) • 被害届け出件数: 2,014件(今年度最悪) • 相談件数: 3,065件 • 感染実害率: 21.4%(22ヶ月ぶりに20%超) • 届出ウイルスの種類:36種類 • 新種ウイルス :W32/MSBlaster, W32/Mimail, W32/Welchi, W32/Antinny • Windows/DOS系:1,879 、マクロウイルス及びスクリプト系:134、Mac系及びUNIX系:11 • 一番届出の多かったウイルスW32/Sobig • 感染経路:メールにより感染したケースが最も多い(届出件数の78.2%の割合を占める、不明・その他が増加していることも注目)
W32/MSBlaster 被害が拡大した要因は、 ・ Windows XP/2000 などは購入したままの状態で影響を受けるセキュリティホールがあった ・ そのセキュリティホールを修正する等の予防策がとられなかった などが挙げられる。
感染を防ぐには 1)最新のウイルス定義ファイルに更新し、ワクチンソフ トを活用すること 2)メールの添付ファイルは、開く前にウイルス検査を行 うこと 3)ダウンロードしたファイルは、使用する前にウイルス 検査を行うこと 4)アプリケーションのセキュリティ機能を活用すること 5)セキュリティパッチをあてること 6)ウイルス感染の兆候を見逃さないこと 7)ウイルス感染被害からの復旧のためデータのバック アップを行うこと
ウイルス感染の種類 • ブートセクタ型ウイルス • ファイル感染型ウイルス • マクロ型ウイルス • MS-WORDマクロウイルス • MS-EXCELマクロウイルス • スクリプト型ウイルス • VBスクリプトウイルス • JAVAウイルス
メールの添付ファイルに関する注意 1) 見知らぬ相手先から届いた添付ファイル付きのメールは厳重注意する 2) 添付ファイルの見た目に惑わされない 3) 知り合いから届いたどことなく変な添付ファイル付きのメールは疑ってかかる 4) メールの本文でまかなえるようなものをテキスト形式等のファイルで添付しない 5) 各メーラー特有の添付ファイルの取り扱いに注意する
メールの添付ファイルに関する注意(1) 1) 見知らぬ相手先から届いた添付ファイル付きのメールは厳重注意する 見知らぬ相手先から送信されたメールの添付ファイルについては、安全を確認することが難しく、また、ほとんどのケースが自分に必要ないものであるので、無条件に削除することが望ましい。
メールの添付ファイルに関する注意(2) 2) 添付ファイルの見た目に惑わされない テキストファイル(拡張子「.txt」)や画像ファイル(拡張子 「.jpg」)などの、ウイルスに感染することのないファイルに見せかけた添付ファイルを送りつけるウイルスが発見されており、注意が必要である。 添付ファイルは、見た目に惑わされず、プロパティで拡張子を表示するなどによりファイル形式を確認し、ファイルを実行するアプリケーションを把握するとともに、自分に必要なものかどうかを判断したうえで使用するべきである。
メールの添付ファイルに関する注意(3) 3) 知り合いから届いたどことなく変な添付ファイル付きのメールは疑ってかかる メールを送信するタイプのウイルスが激増しており、知り合いから送信された添付ファイル付きのメールは、送信者の知らない間にウイルスが送信している可能性が ある。巧妙に添付ファイルを開かせるような心理をついてくるので、このような知り合いからのメールこそウイルスの疑いを持って接する必要がある。 メールに付帯の情報(メール本文等)もウイルスが作成 している可能性があるため、これらの情報も信用せず、 例えば先方に問い合わせるなどにより安全を確認して から使用するべきである。
メールの添付ファイルに関する注意(4) 4) メールの本文でまかなえるようなものをテキス 形式等のファイルで添付しない 受信者にウイルス検査の作業負担を生じさせることに なり、また、検査を行ったとしても不安感を完全にぬぐいさることはできないので、添付ファイル付きのメール送信は避ける。 必要にせまられ添付ファイル付きでメールを送信する場合には、当該ファイルのウイルス検査を行ってから実 施するようにし、あわせてメールに付帯の情報(メール 本文等)以外で、添付ファイルを付けた旨とその内容を事前に先方に伝えるような配慮が望ましい。 一方、このようにして届けられたものでも、受信者はウイルス検査後使用するという用心深さが必要である。
メールの添付ファイルに関する注意(5) 5) 各メーラー特有の添付ファイルの取り扱いに注意する メーラーの設定、メーラーの特殊性などの添付ファイルの取り扱いに関連する事項をよく把握して使用することが重要である。 例えば、一部のメーラーでは、受信時に添付ファイルをあらかじめ指定されたフォルダに自動的に展開しファイル保存する。このようなメーラーを使用している場合は、ウイルス検出などでメール本文ごと添付ファイルを削除した時に、保存されている複製も忘れずに削除されるような設定にする必要がある。
検証:Nimdaに見る新世代ウイルスの類型 • Nimda • 全方向ウイルス:これまでのウイルスが持っていた感染拡大機能を併せ持つ • サーバ、メール両方を介しての自動侵入機能 • IISのサーバのバグをつく • IEのブラウザのバグをつく • 当然Outlookを使ったメールを介しても媒介する • 特定ブラウザを通じての感染機能
検証:Nimdaに見る新世代ウイルスの類型(具体的な内容)検証:Nimdaに見る新世代ウイルスの類型(具体的な内容) このウイルスは、セキュリティホールを悪用したウイルスで、Windows95/98/ME/NT/ 2000で動作する。 • マイクロソフト社の Internet Information Server (IIS) のセキュリティホールのあるシス テムに侵入するとホームページを改ざんする • セキュリティホールのあるInternetExplorerで改ざんされたホームページを見るとウイル スに感染する • クライアントが感染すると、Outlookのアドレス帳に登録されているアドレス等にウイルス を添付したメールを送信する • 添付ファイル名はreadme.exeである • そのウイルス付メールを受け取ると、Outlookではメールを開いただけ で、OutlookExpressではプレビューしただけでも感染することがある
検証:Klaz 毎月6日に発病しCドライブのファイルを削除する このウイルスは、InternetExplorerの既知のセキュリティホールを悪用したウイ ルスで、メールの添付ファイルを介して感染を拡げる • このウイルスは、メールを開くだけで感染する可能性がある • Outlook Expressではプレビューしただけで感染する場合もある • 感染しても自覚症状やウイルスメール送付先からの連絡がな いなど感染兆候がないので、発病するまで気がつかないケース が多々ある • 発病すると:毎月6日に発病し、Cドライブのファイルを削除する
検証:W32/MSBlasterの脅威 根本的な問題:WindowsNT/2000/XPに元から内在している問題点を突いた(他にも別のバグがある可能性が…) • IPAの観測では3分位で感染→最短では3秒で感染した • 対策情報をブラウズするとかWindows Updateをダウンロードしようとすると感染する • 対策情報そのものがWebでの公開を中心としていることを逆手にとっている • OSが再起動を繰り返すという最悪の状況に陥る